286 lines
11 KiB
Bash
286 lines
11 KiB
Bash
#!/bin/bash
|
|
|
|
# Script d'automatisation de la configuration Keycloak pour UnionFlow
|
|
# Usage: ./setup-keycloak.sh
|
|
|
|
echo ""
|
|
echo "========================================================"
|
|
echo "🔧 Configuration automatique de Keycloak pour UnionFlow"
|
|
echo "========================================================"
|
|
echo ""
|
|
|
|
# Configuration
|
|
KEYCLOAK_URL="http://localhost:8180"
|
|
ADMIN_USER="admin"
|
|
ADMIN_PASS="admin"
|
|
REALM_NAME="unionflow"
|
|
CLIENT_ID="unionflow-client"
|
|
|
|
echo "📋 Paramètres:"
|
|
echo " - Keycloak URL: $KEYCLOAK_URL"
|
|
echo " - Admin User: $ADMIN_USER"
|
|
echo " - Realm: $REALM_NAME"
|
|
echo " - Client ID: $CLIENT_ID"
|
|
echo ""
|
|
|
|
# Vérifier que Keycloak est accessible
|
|
echo "🔍 Vérification de Keycloak..."
|
|
if ! curl -s "$KEYCLOAK_URL" > /dev/null; then
|
|
echo "❌ ERREUR: Keycloak n'est pas accessible sur $KEYCLOAK_URL"
|
|
echo " Assurez-vous que Keycloak est démarré."
|
|
exit 1
|
|
fi
|
|
echo "✅ Keycloak est accessible"
|
|
echo ""
|
|
|
|
# Étape 1: Obtenir le token admin
|
|
echo "📝 Étape 1/7: Obtention du token admin..."
|
|
TOKEN_RESPONSE=$(curl -s -X POST "$KEYCLOAK_URL/realms/master/protocol/openid-connect/token" \
|
|
-H "Content-Type: application/x-www-form-urlencoded" \
|
|
-d "username=$ADMIN_USER" \
|
|
-d "password=$ADMIN_PASS" \
|
|
-d "grant_type=password" \
|
|
-d "client_id=admin-cli")
|
|
|
|
ADMIN_TOKEN=$(echo "$TOKEN_RESPONSE" | grep -o '"access_token":"[^"]*' | cut -d'"' -f4)
|
|
|
|
if [ -z "$ADMIN_TOKEN" ]; then
|
|
echo "❌ ERREUR: Impossible d'obtenir le token admin"
|
|
echo " Vérifiez les identifiants: $ADMIN_USER / $ADMIN_PASS"
|
|
exit 1
|
|
fi
|
|
echo "✅ Token admin obtenu"
|
|
echo ""
|
|
|
|
# Étape 2: Créer le realm
|
|
echo "📝 Étape 2/7: Création du realm '$REALM_NAME'..."
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d "{\"realm\":\"$REALM_NAME\",\"enabled\":true,\"displayName\":\"UnionFlow\",\"registrationAllowed\":false,\"loginWithEmailAllowed\":true,\"duplicateEmailsAllowed\":false,\"resetPasswordAllowed\":true,\"editUsernameAllowed\":false,\"bruteForceProtected\":true}" > /dev/null 2>&1
|
|
|
|
if [ $? -ne 0 ]; then
|
|
echo "⚠️ Le realm existe peut-être déjà, continuation..."
|
|
else
|
|
echo "✅ Realm créé"
|
|
fi
|
|
echo ""
|
|
|
|
# Étape 3: Créer les rôles
|
|
echo "📝 Étape 3/7: Création des rôles..."
|
|
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/roles" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d '{"name":"SUPER_ADMIN","description":"Super administrateur système"}' > /dev/null 2>&1
|
|
echo " ✅ Rôle SUPER_ADMIN créé"
|
|
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/roles" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d '{"name":"ADMIN_ENTITE","description":"Administrateur d'\''entité"}' > /dev/null 2>&1
|
|
echo " ✅ Rôle ADMIN_ENTITE créé"
|
|
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/roles" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d '{"name":"MEMBRE","description":"Membre standard"}' > /dev/null 2>&1
|
|
echo " ✅ Rôle MEMBRE créé"
|
|
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/roles" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d '{"name":"GESTIONNAIRE_MEMBRE","description":"Gestionnaire des membres"}' > /dev/null 2>&1
|
|
echo " ✅ Rôle GESTIONNAIRE_MEMBRE créé"
|
|
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/roles" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d '{"name":"GESTIONNAIRE_EVENEMENT","description":"Gestionnaire des événements"}' > /dev/null 2>&1
|
|
echo " ✅ Rôle GESTIONNAIRE_EVENEMENT créé"
|
|
|
|
echo ""
|
|
|
|
# Étape 4: Créer le client
|
|
echo "📝 Étape 4/7: Création du client '$CLIENT_ID'..."
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/clients" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d "{\"clientId\":\"$CLIENT_ID\",\"enabled\":true,\"protocol\":\"openid-connect\",\"publicClient\":false,\"directAccessGrantsEnabled\":true,\"standardFlowEnabled\":true,\"implicitFlowEnabled\":false,\"serviceAccountsEnabled\":false,\"authorizationServicesEnabled\":false,\"rootUrl\":\"http://localhost:8086\",\"baseUrl\":\"http://localhost:8086\",\"redirectUris\":[\"http://localhost:8086/*\"],\"webOrigins\":[\"http://localhost:8086\"],\"attributes\":{\"post.logout.redirect.uris\":\"http://localhost:8086/*\"}}" > /dev/null 2>&1
|
|
|
|
if [ $? -ne 0 ]; then
|
|
echo "⚠️ Le client existe peut-être déjà, continuation..."
|
|
else
|
|
echo "✅ Client créé"
|
|
fi
|
|
echo ""
|
|
|
|
# Étape 5: Récupérer le client ID (UUID) et le secret
|
|
echo "📝 Étape 5/7: Récupération du client secret..."
|
|
|
|
CLIENTS=$(curl -s -X GET "$KEYCLOAK_URL/admin/realms/$REALM_NAME/clients" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN")
|
|
|
|
CLIENT_UUID=$(echo "$CLIENTS" | grep -o "\"id\":\"[^\"]*\"" | grep -B5 "\"clientId\":\"$CLIENT_ID\"" | head -1 | cut -d'"' -f4)
|
|
|
|
if [ -z "$CLIENT_UUID" ]; then
|
|
# Méthode alternative avec jq si disponible
|
|
if command -v jq &> /dev/null; then
|
|
CLIENT_UUID=$(echo "$CLIENTS" | jq -r ".[] | select(.clientId==\"$CLIENT_ID\") | .id")
|
|
fi
|
|
fi
|
|
|
|
if [ -z "$CLIENT_UUID" ]; then
|
|
echo "❌ ERREUR: Impossible de trouver le client UUID"
|
|
echo " Installez 'jq' pour un meilleur parsing JSON ou configurez manuellement"
|
|
exit 1
|
|
fi
|
|
|
|
# Récupérer le secret du client
|
|
SECRET_RESPONSE=$(curl -s -X GET "$KEYCLOAK_URL/admin/realms/$REALM_NAME/clients/$CLIENT_UUID/client-secret" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN")
|
|
|
|
CLIENT_SECRET=$(echo "$SECRET_RESPONSE" | grep -o '"value":"[^"]*' | cut -d'"' -f4)
|
|
|
|
if [ -z "$CLIENT_SECRET" ] && command -v jq &> /dev/null; then
|
|
CLIENT_SECRET=$(echo "$SECRET_RESPONSE" | jq -r '.value')
|
|
fi
|
|
|
|
if [ -z "$CLIENT_SECRET" ]; then
|
|
echo "❌ ERREUR: Impossible de récupérer le client secret"
|
|
exit 1
|
|
fi
|
|
|
|
echo "✅ Client Secret récupéré: $CLIENT_SECRET"
|
|
echo ""
|
|
|
|
# Étape 6: Configurer le client scope mapper pour les rôles
|
|
echo "📝 Étape 6/7: Configuration du mapper de rôles..."
|
|
|
|
SCOPES=$(curl -s -X GET "$KEYCLOAK_URL/admin/realms/$REALM_NAME/clients/$CLIENT_UUID/default-client-scopes" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN")
|
|
|
|
SCOPE_ID=$(echo "$SCOPES" | grep -o '"id":"[^"]*"' | grep -A5 "dedicated" | head -1 | cut -d'"' -f4)
|
|
|
|
if [ -z "$SCOPE_ID" ] && command -v jq &> /dev/null; then
|
|
SCOPE_ID=$(echo "$SCOPES" | jq -r '.[] | select(.name | contains("dedicated")) | .id')
|
|
fi
|
|
|
|
if [ -n "$SCOPE_ID" ]; then
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/client-scopes/$SCOPE_ID/protocol-mappers/models" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d '{"name":"realm-roles","protocol":"openid-connect","protocolMapper":"oidc-usermodel-realm-role-mapper","config":{"multivalued":"true","userinfo.token.claim":"true","id.token.claim":"true","access.token.claim":"true","claim.name":"roles","jsonType.label":"String"}}' > /dev/null 2>&1
|
|
echo "✅ Mapper de rôles configuré"
|
|
else
|
|
echo "⚠️ Impossible de trouver le client scope dédié, le mapper devra être configuré manuellement"
|
|
fi
|
|
echo ""
|
|
|
|
# Étape 7: Créer un utilisateur test
|
|
echo "📝 Étape 7/7: Création de l'utilisateur test..."
|
|
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/users" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d '{"username":"test@unionflow.dev","email":"test@unionflow.dev","firstName":"Test","lastName":"User","enabled":true,"emailVerified":true}' > /dev/null 2>&1
|
|
|
|
if [ $? -ne 0 ]; then
|
|
echo "⚠️ L'utilisateur existe peut-être déjà, continuation..."
|
|
else
|
|
echo "✅ Utilisateur créé"
|
|
fi
|
|
|
|
# Récupérer l'ID de l'utilisateur
|
|
USER_RESPONSE=$(curl -s -X GET "$KEYCLOAK_URL/admin/realms/$REALM_NAME/users?username=test@unionflow.dev" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN")
|
|
|
|
USER_ID=$(echo "$USER_RESPONSE" | grep -o '"id":"[^"]*' | head -1 | cut -d'"' -f4)
|
|
|
|
if [ -z "$USER_ID" ] && command -v jq &> /dev/null; then
|
|
USER_ID=$(echo "$USER_RESPONSE" | jq -r '.[0].id')
|
|
fi
|
|
|
|
if [ -n "$USER_ID" ]; then
|
|
# Définir le mot de passe
|
|
curl -s -X PUT "$KEYCLOAK_URL/admin/realms/$REALM_NAME/users/$USER_ID/reset-password" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d '{"type":"password","value":"test123","temporary":false}' > /dev/null 2>&1
|
|
echo " ✅ Mot de passe défini (test123)"
|
|
|
|
# Récupérer les rôles
|
|
ROLES=$(curl -s -X GET "$KEYCLOAK_URL/admin/realms/$REALM_NAME/roles" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN")
|
|
|
|
ROLE_MEMBRE_ID=$(echo "$ROLES" | grep -B2 '"name":"MEMBRE"' | grep '"id"' | cut -d'"' -f4)
|
|
ROLE_ADMIN_ID=$(echo "$ROLES" | grep -B2 '"name":"ADMIN_ENTITE"' | grep '"id"' | cut -d'"' -f4)
|
|
|
|
if command -v jq &> /dev/null; then
|
|
ROLE_MEMBRE_ID=$(echo "$ROLES" | jq -r '.[] | select(.name=="MEMBRE") | .id')
|
|
ROLE_ADMIN_ID=$(echo "$ROLES" | jq -r '.[] | select(.name=="ADMIN_ENTITE") | .id')
|
|
fi
|
|
|
|
if [ -n "$ROLE_MEMBRE_ID" ]; then
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/users/$USER_ID/role-mappings/realm" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d "[{\"id\":\"$ROLE_MEMBRE_ID\",\"name\":\"MEMBRE\"}]" > /dev/null 2>&1
|
|
echo " ✅ Rôle MEMBRE assigné"
|
|
fi
|
|
|
|
if [ -n "$ROLE_ADMIN_ID" ]; then
|
|
curl -s -X POST "$KEYCLOAK_URL/admin/realms/$REALM_NAME/users/$USER_ID/role-mappings/realm" \
|
|
-H "Authorization: Bearer $ADMIN_TOKEN" \
|
|
-H "Content-Type: application/json" \
|
|
-d "[{\"id\":\"$ROLE_ADMIN_ID\",\"name\":\"ADMIN_ENTITE\"}]" > /dev/null 2>&1
|
|
echo " ✅ Rôle ADMIN_ENTITE assigné"
|
|
fi
|
|
else
|
|
echo "⚠️ Impossible de configurer l'utilisateur"
|
|
fi
|
|
|
|
echo ""
|
|
|
|
# Sauvegarder le client secret dans .env
|
|
echo ""
|
|
echo "💾 Sauvegarde de la configuration..."
|
|
cat > .env << EOF
|
|
# Configuration Keycloak générée automatiquement
|
|
# Date: $(date)
|
|
|
|
KEYCLOAK_CLIENT_SECRET=$CLIENT_SECRET
|
|
UNIONFLOW_BACKEND_URL=http://localhost:8085
|
|
|
|
# Informations de connexion pour tests
|
|
# Username: test@unionflow.dev
|
|
# Password: test123
|
|
EOF
|
|
|
|
echo "✅ Fichier .env créé avec le client secret"
|
|
echo ""
|
|
|
|
# Résumé
|
|
echo "========================================================"
|
|
echo "✅ Configuration Keycloak terminée avec succès!"
|
|
echo "========================================================"
|
|
echo ""
|
|
echo "📋 Résumé:"
|
|
echo " - Realm: $REALM_NAME"
|
|
echo " - Client ID: $CLIENT_ID"
|
|
echo " - Client Secret: $CLIENT_SECRET"
|
|
echo " - Utilisateur test: test@unionflow.dev"
|
|
echo " - Mot de passe: test123"
|
|
echo " - Rôles assignés: MEMBRE, ADMIN_ENTITE"
|
|
echo ""
|
|
echo "📄 Le client secret a été sauvegardé dans le fichier .env"
|
|
echo ""
|
|
echo "🚀 Prochaines étapes:"
|
|
echo " 1. Vérifiez le fichier .env"
|
|
echo " 2. Lancez l'application avec: ./start-local.sh"
|
|
echo " 3. Accédez à http://localhost:8086"
|
|
echo " 4. Connectez-vous avec test@unionflow.dev / test123"
|
|
echo ""
|
|
echo "========================================================"
|
|
echo ""
|